Toon posts:

[OpenBSD] Bind veroorzaakt udp flood op router

Pagina: 1
Acties:

dinsdag 13 juni 2006 20:03

Acties:
  • Riesenbaby
  • Registratie: Augustus 2002
  • Laatst online: 31-12-2024

Riesenbaby

dom geboren, niets bijgeleerd

Topicstarter
Wat draait er bij mij:

Server:
- OpenBSD 3.9
- Bind 9.3.1
- ISC DHCP v. 3.0.3
- Samba 3.0.21bp2

Router:
-SMC Barricade 7404BRB
Runtime Code Version: 0.26.2 (Mar 05 2004 13:27:43)
Boot Code Version: V1.3

Mijn probleem:

Logboek router:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

06/13/2006  18:13:51 192.168.0.148 login success
06/13/2006  17:33:23 192.168.0.148 logout      
06/13/2006  17:31:59 192.168.0.148 login success
06/13/2006  16:31:01 **UDP Flood to Host** 192.168.0.200, 16294->> 192.48.79.30, 53 (from ATM1 Outbound)
06/13/2006  16:22:24 ATM1 get IP:*.*.*.*
06/13/2006  16:22:24 Username and Password: OK 
06/13/2006  16:22:16 ATM1 start PPP            
06/13/2006  16:22:04 ATM1 stop PPP             
06/13/2006  14:46:13 NTP Date/Time updated     
06/13/2006  14:45:11 Begin to query NTP        
06/13/2006  13:08:50 **UDP Flood to Host** 192.168.0.200, 16294->> 63.241.73.200, 53 (from ATM1 Outbound)
06/13/2006  11:40:27 **UDP Flood to Host** 192.168.0.200, 16294->> 62.4.69.96, 53 (from ATM1 Outbound)
06/13/2006  11:40:25 **UDP Flood to Host** 192.168.0.200, 16294->> 220.73.220.4, 53 (from ATM1 Outbound)
06/13/2006  11:40:23 **UDP Flood to Host** 192.168.0.200, 16294->> 63.241.73.200, 53 (from ATM1 Outbound)
06/13/2006  11:40:21 **UDP Flood to Host** 192.168.0.200, 16294->> 195.219.3.169, 53 (from ATM1 Outbound)
06/13/2006  11:40:19 **UDP Flood to Host** 192.168.0.200, 16294->> 61.213.147.96, 53 (from ATM1 Outbound)
06/13/2006  09:39:30 **UDP Flood to Host** 192.168.0.200, 16294->> 61.213.147.96, 53 (from ATM1 Outbound)
06/13/2006  09:39:28 **UDP Flood to Host** 192.168.0.200, 16294->> 195.219.3.169, 53 (from ATM1 Outbound)
06/13/2006  09:39:26 **UDP Flood to Host** 192.168.0.200, 16294->> 63.241.73.200, 53 (from ATM1 Outbound)
06/13/2006  09:39:24 **UDP Flood to Host** 192.168.0.200, 16294->> 62.4.69.96, 53 (from ATM1 Outbound)


Mijn DNS server zit op 192.168.0.200.

Eens in de zoveel tijd crasht de router (erg variabel), na een router reset heb ik wel weer verbinding.

Het probleem is ontstaan nadat ik mijn nieuwe server (192.168.0.200) vanuit de testomgeving naar de 'produktie omgeving' heb gezet. Dit was noodzakelijk omdat mijn windows 2000 server de geest had gegeven. Met diezelfde windows 2000 server had ik dit probleem niet. Ook de windows server draaide dns met caching.

Naar mijn mening lijkt het erop dat de caching dns te snel de root servers afvraagt waardoor de router crasht.
Ik heb in de documentatie van Bind9 gezocht naar een mogelijkheid om daar wat aan te veranderen, maar dat heb ik eigenlijk niet gevonden. (Het kan goed zijn dat ik er overheen gelezen heb of dat ik iets verkeerd geïnterperteerd heb.)

Ik heb op google gezocht maar daar kwam niets bruikbaars uit. Ook hier op GOT heb ik gezocht, daar kwamen eigenlijk alleen router gerelateerde zaken uit (geblokkeerde poorten enzovoort) en een keer een windows 2003 small bussines server dat ook een router gerelateerd probleem bleek te zijn.

Het probleem ligt naar mijn mening niet in de router omdat de nameresolvement wel werkt, ook voor url's die niet gecached zijn.
Ik heb wel de router naar de laatste firmware stand gebracht omdat in de bug fixes problemen met het udp protocol beschreven stonden. Het is nu zo dat de router minder vaak crasht, maar hij doet het nog steeds. En bovendien wordt mijn internet verbinding er ook bagger traag van op het moment van een udp flood.

Hieronder heb ik mijn named.conf en de output van netstat gezet.

named.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

acl riesenbaby { 192.168.0.0/24; };

options {
    version ""; // remove this to allow version queries
    listen-on { 192.168.0.200; 127.0.0.1; };
    allow-query { riesenbaby; 127.0.0.1; };
//  forwarders { 212.45.33.3; 212.45.32.3; };
};

zone "localhost" {
    type master;
    file "standard/localhost";
};

zone "127.in-addr.arpa" {
    type master;
    file "standard/loopback";
    notify no;
};

// Riesenbaby

key DHCP_UPDATER {
    algorithm HMAC-MD5;
    secret *;
};

zone "riesenbaby.nl" {
    type master;
    file "master/riesenbaby.nl";
    allow-update { key DHCP_UPDATER; };
};

zone "0.168.192.in-addr.arpa" {
    type master;
    file "master/0.168.192";
    allow-update { key DHCP_UPDATER; };
};


Ik heb ook netstat gedraait op de bewuste machine, ik haalde er eigenlijk niets bijzonders uit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
ip         0      0  *.*                    *.*                    1
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp        0     52  192.168.0.200.22       192.168.0.148.2350     ESTABLISHED
tcp        0      0  192.168.0.200.445      192.168.0.148.1083     ESTABLISHED
tcp        0      0  *.139                  *.*                    LISTEN
tcp        0      0  *.445                  *.*                    LISTEN
tcp        0      0  127.0.0.1.587          *.*                    LISTEN
tcp        0      0  127.0.0.1.25           *.*                    LISTEN
tcp        0      0  *.22                   *.*                    LISTEN
tcp        0      0  *.37                   *.*                    LISTEN
tcp        0      0  *.13                   *.*                    LISTEN
tcp        0      0  *.113                  *.*                    LISTEN
tcp        0      0  127.0.0.1.953          *.*                    LISTEN
tcp        0      0  192.168.0.200.53       *.*                    LISTEN
tcp        0      0  127.0.0.1.53           *.*                    LISTEN
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp        0      0  192.168.0.200.138      *.*                   
udp        0      0  192.168.0.200.137      *.*                   
udp        0      0  *.138                  *.*                   
udp        0      0  *.137                  *.*                   
udp        0      0  127.0.0.1.512          *.*                   
udp        0      0  *.67                   *.*                   
udp        0      0  *.16294                *.*                   
udp        0      0  192.168.0.200.53       *.*                   
udp        0      0  127.0.0.1.53           *.*                   
udp        0      0  *.514                  *.*                   
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp6       0      0  ::1.587                *.*                    LISTEN
tcp6       0      0  ::1.25                 *.*                    LISTEN
tcp6       0      0  *.22                   *.*                    LISTEN
tcp6       0      0  *.37                   *.*                    LISTEN
tcp6       0      0  *.13                   *.*                    LISTEN
tcp6       0      0  *.113                  *.*                    LISTEN
tcp6       0      0  ::1.953                *.*                    LISTEN
tcp6       0      0  *.53                   *.*                    LISTEN
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp6       0      0  ::1.512                *.*                   
udp6       0      0  *.9180                 *.*                   
udp6       0      0  *.53                   *.*                   
Active UNIX domain sockets
Address    Type   Recv-Q Send-Q      Inode       Conn       Refs    Nextref Addr
0xd6045994 dgram       0      0        0x0 0xd0c07580        0x0 0xd0c1d840
0xd5fac59c stream      0      0 0xd602a30c        0x0        0x0        0x0 tabs/.sock
0xd5fac4d0 dgram       0      0        0x0 0xd0c07580        0x0 0xd0c45840
0xd5fac800 stream      0      0        0x0 0xd0c5af00        0x0        0x0
0xd5fac668 stream      0      0        0x0 0xd0c5a9c0        0x0        0x0
0xd60450d0 dgram       0      0        0x0 0xd0c07580        0x0 0xd0c1df40
0xd60807f8 dgram       0      0        0x0 0xd0c07580        0x0 0xd0c193c0
0xd6080660 stream      0      0        0x0 0xd0c19340        0x0        0x0
0xd6080594 stream      0      0        0x0 0xd0c07600        0x0        0x0
0xd60804c8 dgram       0      0        0x0 0xd0c07580        0x0        0x0
0xd60803fc stream      0      0        0x0 0xd0c07700        0x0        0x0
0xd6080330 stream      0      0        0x0 0xd0bbe140        0x0        0x0
0xd6080264 dgram       0      0 0xd6051270        0x0        0x0        0x0 /var/empty/dev/log
0xd6080198 dgram       0      0 0xd60511d4        0x0        0x0        0x0 /var/named/dev/log
0xd60800cc dgram       0      0 0xd6051138        0x0 0xd0c45e00        0x0 /dev/log


Ik hoop dat ik dit topic in het goede forum gezet heb, ik twijvel nog een beetje want de verschillende policies verwijzen een beetje naar elkaar.
Mocht hij toch verkeerd staan verzoek ik een modje vriendelijk hem te verplaatsen.

Bierke, Bierke ik zal ow zoepe. Al mot ik op hande en vuut noar huus hen kroepen!!

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq